Con la fuerte apuesta de Microsoft a la seguridad y la nube, Microsoft Intune, su plataforma de administración de dispositivos, ha tomado mucha más fuerza, al punto de entrar en el grupo que lidera el cuadrante de Gartner en temas de Unified Endpoint Management, así que se vuelve bastante conveniente empezar a profundizar en todo lo que la plataforma brinda.
Como cualquier otra plataforma de administración, es necesario registrar o inscribir el dispositivo (PC, tablet o móvil) de alguna forma, Intune no es la excepción. Hablando específicamente de Windows, se puede hacer desde el OOBE (manual o a través de Autopilot) o ya en Windows; sin embargo, con el fin de optimizar el proceso para escenarios de muchos dispositivos, es posible configurar un paquete de aprovisionamiento que sirva para unir múltiples dispositivos utilizando un solo token; es decir, sin necesidad de depender de cada cuenta de usuario.
A continuación, les mostraré, paso a paso, cómo podemos crear y desplegar el paquete de aprovisionamiento.
Requerimientos
-
Todos los equipos deben estar en Windows 10, versión 1703 o superior
-
Asignar licencia de Intune a la cuenta que se le asociará el token (ver más adelante)
-
Habilitar la inscripción automática de dispositivos (ver más adelante)
-
Instalar en un equipo técnico el ADK para Windows 10, versión 1809
Asignar licencia de Intune
Una vez creado el tenant de Intune o EMS (dependiendo del licenciamiento), navegamos hasta el portal de administración de Office 365 e iniciamos sesión con una cuenta administradora: https://portal.office.com/AdminPortal
Una vez en el portal, expandimos el nodo izquierdo de Users y luego clic en Active users
Hacemos clic sobre el usuario que deseamos asignarle la licencia de Intune:
En la página de usuario que se abre a la derecha, hacemos clic en el botón Edit que está en la parte derecha de Product licenses:
En la página de Product licenses, cambiamos de Off a On Intune o Enterprise Mobility + Security:
Por último, clic en el botón inferior de Save:
Clic en el botón de Close dos veces y cerramos la página de administración de Office 365.
Este mismo procedimiento lo debemos realizar para cada nuevo usuario cuyo dispositivo se vaya a conectar a Microsoft Intune.
Habilitar inscripción automática
1. Iniciamos sesión en el portal de Azure con la cuenta administrativa: https://portal.azure.com
2. Ubicamos y hacemos clic sobre Azure Active Directory en el panel izquierdo:
3. En la página de Azure Active Directory, seleccionamos Mobility (MDM and MAM)
4. Seleccionamos en el panel central Microsoft Intune
5. En la página de Configure, nos aseguramos de seleccionar All en MDM User scope para que todos los dispositivos de usuarios se puedan inscribir a Microsoft Intune:
Adicionalmente, pueden habilitar también MAM User scope para administrar los dispositivos móviles, aunque eso hace parte de otros posibles artículos.
En un escenario ideal, seleccionaríamos Some y ahí pondríamos un primer grupo de usuarios de pruebas antes de poder habilitar a toda la organización.
Con esto estamos listos para que los dispositivos con Windows 10 puedan ser administrados por Microsoft Intune.
Crear el paquete de aprovisionamiento
1. En el equipo técnico donde instalamos el ADK para Windows 10, versión 1809, ejecutamos el Windows Imaging and Configuration Designer como administradores
2. En la ventana de Windows Imaging and Configuration Designer, seleccionamos el nodo de Provision desktop devices:
3. En la ventana de New project, asignamos un nombre, una descripción (opcional) y hacemos clic en el botón de Finish:
4. En la categoría de Set up device, es obligatorio asignar un nombre de equipo. El paquete soporta un par de formatos: %SERIAL% y %RAND%. El primero pone el serial que toma del hardware de la máquina, el segundo asigna un número aleatorio según la cantidad que le demos. Para este caso, yo le pondré: INSIDO-%RAND:4%
Es muy importante no ir a asignar un nombre sin estas variables porque entonces todos tratarían de unirse como si fueran el mismo dispositivo y no funcionará.
5. Hacemos clic en Account Management, seleccionamos Enroll in Azure AD y luego hacemos clic en el botón de Get Bulk Token:
6. Seguimos el asistente para iniciar sesión con la cuenta administrativa y obtener el token:
6. Si el equipo técnico no está unido a Azure AD, nos aparecerá otra página en donde debemos indicarle en la parte inferior This app only para terminar:
Si todo sale bien, nos debe decir «Bulk Token Fetched Successfully»:
7. Hacemos clic en el botón Finish y luego en Create para que el paquete compile:
8. Si todo sale bien, tendremos un enlace en la parte inferior para nuestro paquete similar a este:
Desplegar el paquete de aprovisionamiento
Aunque hay diferentes formas de implementar el paquete de aprovisionamiento, incluso de forma desatendida con PowerShell, lo haré de la forma más simple: copiar el paquete localmente a cada máquina.
1. Una vez copiado en cada equipo, hacemos doble clic sobre el paquete
2. Si nos sale la ventana del UAC, hacemos clic en el botón Sí (Yes)
3. En la ventana del paquete de aprovisionamiento, confirmamos que se trate del que creamos y hacemos clic en el botón Sí, agregarlo:
Si todo sale bien, el equipo debería reiniciarse solo al momento de aplicarlo (1 min.):
4. Al reiniciar el equipo, estará conectado a Azure Active Directory e inscrito a Microsoft Intune. Cada nuevo usuario ya podrá iniciar normalmente con su cuenta profesional:
Como dije antes, es necesario que el usuario no tenga restricciones para iniciar sesión con su cuenta de Azure AD y que además tenga su respectiva licencia de Microsoft Intune asignada para poder recibir directivas desde la nube.
Visualizar los equipos inscritos en la consola de Intune
Para estar seguros de que todo salió bien, podemos visualizar los dispositivos inscritos directamente en la consola de Intune:
- Navegamos hasta https://portal.azure.com e iniciamos sesión con una cuenta de administrador
-
En la barra de búsqueda superior, digitamos Intune y hacemos clic en Intune para abrir la consola:
- En la consola de Intune, hacemos clic en Devices en el panel izquierdo:
- En la página de Devices, hacemos clic en All devices, debajo de la categoría de Manage
- Aquí podremos ver todos los dispositivos inscritos correctamente a Intune:
Como pueden ver, tengo dos dispositivos con el formato de nombre que puse en el Configuration Designer al momento de crear el paquete.
De aquí en adelante ya podemos empezar a gestionar los dispositivos: directivas, líneas base, etc. Espero compartir algo de esto en futuros artículos.
Cabe aclarar que con este método de inscripción no funciona el Acceso condicional (Conditional Access) sobre los dispositivos.
Espero sea de utilidad.
—Checho
Source: https://geeks.ms/checho
